Lev Tolstói empieza su libro Anna Karenina diciendo «Todas las familias felices se parecen unas a otras; pero cada familia infeliz tiene un motivo especial para sentirse desgraciada». Este principio es también aplicable a la gestión de seguridad en la nube, pues lo cierto es que, la combinación entre diferentes proveedores de nube, recursos utilizados, y casos de uso, hacen que cada organización sufra de distintos males muy específicos para ella misma.
En este artículo trataremos los usos que le podemos dar a la herramienta Security Command Center (SCC), creada por Google Cloud para solventar muchas de las vulnerabilidades que sufre nuestra organización.
Filtración de credenciales
Según una encuesta realizada por la consultora de seguridad Constella Intelligence, casi en su totalidad, todos los directivos de las empresas consultadas piensan que el cambio de paradigma de la presencialidad a la virtualidad laboral ha ocasionado un incremento en los riesgos de seguridad, especialmente en cuanto a una probabilidad más alta de sufrir una filtración de credenciales. Afortunadamente, Security Command Center (SCC) viene con una funcionalidad que notifica inmediatamente si se encuentran credenciales en los sistemas con los que se tienen asociación. Por ejemplo, SCC notificará tan pronto se haya usado o compartido una clave SSH para una de nuestras Service Accounts (SAs) en un repositorio público de GitHub. La información que se incluirá en el JSON descriptivo del incidente será el proyecto en el que sucedió, el nombre de la SA, la clave SSH filtrada y la URL en la cual se encontró dicha clave.
Otra de las particularidades que nos permite detectar es si se ha hecho uso de alguna de las cuentas en una posición geográfica poco frecuente. SCC se encargará de analizar las zonas desde las cuales se suele acceder a las cuentas y notificar si se percibe comportamiento de inicio de sesión desde localizaciones poco frecuentes.
Adicionalmente, y esta es una de mis favoritas, es la de auto investigación de cuentas. Comúnmente cuando alguien obtiene acceso a una SA que no creó ni ha mantenido, lo primero que realizará es verificar que permisos posee la cuenta. Esto se hace con una llamada de auto investigación revisando las políticas IAM de la cuenta desde ella misma. Si bien en cuentas de usuario este tipo de consultas pueden parecer normales, no lo es en SA, puesto que estas están destinadas en su mayoría a automatizar labores de autenticación de máquinas a máquinas con un propósito muy bien definido. Evidentemente, SCC notificará de este tipo de actividad en las SA de la organización.
Finalmente, para las SAs existe otra herramienta de análisis y es la de uso de nuevos métodos API. Como mencioné anteriormente, la naturaleza de una SA es la de realizar autenticación con un propósito muy bien definido. Por tanto, una SA que consume un método API es muy probable que utilice dicho método por un periodo continuo, por ejemplo, 7 días. Será extremadamente sospechoso si con las credenciales de dicha SA se empiezan a consumir métodos, especialmente si estos están relacionados con servicios críticos aislados de las funciones iniciales de la SA.
Modificaciones de seguridad y extracción de datos confidenciales
Imaginemos que nuestro sistema tiene una VPC configurada con un control de acceso para asegurarnos de que los datos dentro de esa VPC jamás salgan de ella. Un atacante con credenciales o un empleado por error elimina la configuración que define dicho perímetro de seguridad de datos. Con SCC nos podemos percatar cuando esto ocurra, a su vez nos notificará si, en el peor de los casos, los datos han dejado el perímetro previamente definido y cuál ha sido el método por el cual se han extraído. Por ejemplo, puede ser que los datos se encontraran dentro de una instancia de Cloud SQL y fueran extraídos hacia un bucket, SCC nos dará toda esta información.
A su vez, una de las modificaciones que un atacante puede realizar para conseguir acceso persistente a nuestro entorno es darse a sí mismo acceso a un rol, de esta forma, aunque las credenciales de la SA originalmente comprometida se rotaran, aún seguiría teniendo acceso. Para ello, SCC tiene un sistema de detección de anomalías en el aprovisionamiento de permisos en IAM.
Es importante que tengamos en cuenta que esta herramienta no es solo útil a posteriori de un ataque, si no que a su vez puede ser una herramienta útil a priori para descubrir accesos demasiado permisivos en nuestro entorno.
El atacante monetizando nuestro entorno en la nube con minado de criptomonedas
Una de las maneras más eficientes que un atacante tiene para monetizar nuestro entorno, independientemente del uso que le estemos dando, es por medio del minado de criptomonedas.
El atacante simplemente adquirirá cantidades inmensas de capacidad de computación en Compute Engine, y de una manera automatizada la utilizará para minar y ganar dinero imposible de rastrear. El riesgo es inmenso, puesto que el atacante puede solicitar cantidades de recursos hasta alcanzar alguno de los límites definidos por Google, la factura a final de mes será colosal. En este caso, SCC, detectará inmediatamente se estén haciendo peticiones a URL ya conocidos y sospechosos de minado.
Sí, por otro lado, se utiliza un dominio personalizado (imposible de vincular de manera automatizada con minado de criptomonedas) se puede hacer uso de otra de las herramientas de SCC, esta es denominada detector de Amenazas para máquinas virtuales, la cual desplegando una herramienta directamente en el hypervisor de las máquinas virtuales y haciendo un análisis constante del uso de memoria detectará y notificará inmediatamente se perciba que se está realizando una labor de minado.
Concluyendo este artículo, SCC es una herramienta valiosa a considerar si se desea minimizar los riesgos de seguridad a los que las organizaciones se enfrentan constantemente. Si bien como mencionamos al inicio, cada compañía tiene una mezcla de detalles que hacen que cada una sufra de vulnerabilidades muy particulares, SCC brinda una gama muy amplia de opciones a implementar y personalizar para asegurarnos que nuestro entorno en GCP sea tan seguro como el estado del arte de las herramientas disponibles nos lo permitan.
¿Quieres implementar Security Command Center y reforzar la seguridad de tu negocio? Nuestro equipo de expertos en Cloud & Seguridad puede ayudarte en tu caso concreto. ¡No dudes en contactarnos! 🚀